Missed incidents, persistent threats, and response gaps: Insights from compromise assessment projects
Kaspersky-Analysen zeigen, dass viele Cyberangriffe unentdeckt bleiben, oft über Monate oder sogar Jahre. Unternehmen übersehen 60 % der Vorfälle aufgrund fehlender Warnmeldungen und mangelnder operativer Reife. Betroffene sollten regelmäßige Sicherheitsaudits durchführen, Überwachungstools anpassen und ihre Incident-Response-Pläne kontinuierlich aktualisieren, um Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Kaspersky-Analysen zeigen, dass viele Cyberangriffe unentdeckt bleiben, oft über Monate oder sogar Jahre, wobei 60 % der Vorfälle aufgrund fehlender Warnmeldungen übersehen werden. Dies deutet auf eine mangelnde operative Reife bei der Erkennung und Reaktion auf Bedrohungen hin. Unternehmen müssen regelmäßige Sicherheitsaudits durchführen, Überwachungstools anpassen und Incident-Response-Pläne aktualisieren, um Bedrohungen frühzeitig zu erkennen.
Organisationen im Finanzsektor sind betroffen. Generell sind alle Organisationen betroffen, die eine mangelnde operative Reife bei der Erkennung und Reaktion auf Bedrohungen aufweisen.
Das Übersehen von 60 % der Vorfälle und die lange Persistenz von Bedrohungen (oft über Monate oder Jahre) erhöhen das Risiko erheblich. Dies führt zu potenziell größeren Schäden, da Angreifer unentdeckt agieren können.
Langfristige, unentdeckte Präsenz von Angreifern in den Systemen, die zu wiederholten Datenexfiltrationen, Systemmanipulationen oder anhaltenden Betriebsunterbrechungen führen kann, bevor der Vorfall überhaupt erkannt wird.
Führen Sie regelmäßige Kompromittierungsbewertungen durch, aktualisieren Sie kontinuierlich Überwachungstools und Incident-Response-Playbooks und verbessern Sie die menschliche Analyse von Warnmeldungen mit geringer Konfidenz. Beheben Sie Kommunikationslücken und verbessern Sie die operative Reife.
- ▸Überprüfen Sie die Konfiguration Ihrer Überwachungstools (z.B. SIEM, EDR), um sicherzustellen, dass sie Warnmeldungen mit hoher Konfidenz generieren und auch Warnmeldungen mit geringer Konfidenz zur Analyse weiterleiten.
- ▸Führen Sie eine interne Überprüfung Ihrer Incident-Response-Pläne durch, um sicherzustellen, dass sie aktuell sind, regelmäßig getestet werden und Kommunikationswege klar definiert sind.
- ▸Bewerten Sie die operative Reife Ihres Sicherheitsteams, insbesondere im Hinblick auf die Fähigkeit, Warnmeldungen zu analysieren und auf Vorfälle zu reagieren, und identifizieren Sie Schulungsbedarfe.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Persistence | T1136 Create Account | Low | „oft über Monate oder sogar Jahre“ (impliziert, dass Angreifer persistente Zugänge etablieren) |
| Defense Evasion | T1070 Indicator Removal | Low | „viele Cyberangriffe unentdeckt bleiben“ (impliziert, dass Angreifer Techniken zur Umgehung der Erkennung einsetzen) |
| Discovery | T1087 Account Discovery | Low | „lang-undetected threats“ (impliziert, dass Angreifer unentdeckt Erkundungsaktivitäten durchführen können) |
- Spezifische Arten von Bedrohungen oder Angreifern, die unentdeckt bleiben.
- Konkrete CVEs oder Exploits, die in den unentdeckten Vorfällen genutzt wurden.
- Detaillierte technische Indikatoren für Kompromittierung (IOCs).
- Spezifische Tools oder Technologien, die von den Angreifern verwendet wurden.
- Die genaue Methodik der Kaspersky-Analyse, die zu den 60 % unentdeckten Vorfällen führte.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Ja
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Haben wir Windows extern erreichbar?
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?